AWS Key Management Service とは
AWS Key Management Service (AWS KMS) は、データの暗号化に使用される暗号化キーである カスタマーマスターキー (CMK) の作成と管理を容易にするマネージド型サービスです。AWS KMS CMK は、中国 (北京) リージョンと 中国 (寧夏) リージョンを除き、FIPS 140-2 暗号化モジュール検証プログラム
AWS KMS は、データを暗号化する 他のほとんどの AWS のサービス
自分の AWS KMS カスタマーマスターキー (CMK) を作成して管理することができます。
-
CMK を有効および無効にする
-
CMK の暗号化マテリアルの自動ローテーションを有効および無効にする
-
識別、自動化、コスト追跡のための CMK へのタグ付け
-
CMK のフレンドリ名であるエイリアスを作成、削除、一覧表示、および更新する
-
CMK を削除してキーのライフサイクルを完了する
CMK は暗号化オペレーションで使用できます。例については、「AWS KMS API のプログラミング」を参照してください。
-
対称 CMK または非対称 CMK によるデータの暗号化、復号、再暗号化
-
非対称 CMK によるメッセージの署名と検証
-
エクスポート可能な対称データキーと非対称データキーペアの生成
-
暗号化アプリケーションに適したランダムな数値の生成
AWS KMS のアドバンスト機能を使用できます。
-
CMK 内に暗号化マテリアルをインポートする
-
AWS CloudHSM クラスターによってバックアップされている独自のカスタムキーストアに CMK を作成する
-
VPC のプライベートエンドポイントを介して AWS KMS に直接接続する
-
ハイブリッドポスト量子 TLS を使用して、送信データの転送中の前方暗号化を AWS KMS で提供する
AWS KMS を使用することで、暗号化するデータへのアクセスをより詳細に制御できます。キー管理および暗号化機能を直接アプリケーションで使用するか、AWS KMS と統合される AWS サービスを通じて使用できます。AWS 用のアプリケーションを作成しているか、AWS のサービスを使用しているかにかかわらず、AWS KMS では、だれがカスタマーマスターキーを使用して、暗号化されたデータにアクセスできるかを制御できます。
AWS KMS は、指定した Amazon S3 バケットにログファイルを配信するサービスである AWS CloudTrail と統合されます。CloudTrail を使用することで、マスターキーをだれがいつどのように使用したかをモニタリングし、調査できます。
AWS リージョンの AWS KMS
AWS KMS がサポートされる AWS リージョンを AWS Key Management Service エンドポイントとクォータ に示します。AWS KMS がサポートしている AWS リージョンで、サポートされない AWS KMS 機能がある場合は、その機能に関するトピックでリージョンごとの違いが説明されています。
AWS KMS の料金
他の AWS 製品と同様、AWS KMS を使用するための契約や最低契約金は必要ありません。AWS KMS の料金の詳細については、「AWS Key Management Service 料金表
サービスレベルアグリーメント (SLA)
AWS Key Management Service は、当社のサービス可用性ポリシーを定義するサービスレベルアグリーメント
詳細はこちら
-
AWS KMS で使用される用語と概念については、「AWS KMS の概念」を参照してください。
-
AWS KMS API の詳細については、AWS Key Management Service API Reference を参照してください。さまざまなプログラミング言語の例については、「AWS KMS API のプログラミング」を参照してください。
-
AWS KMS が暗号化を使用し、マスターキーをセキュリティで保護する詳しい技術情報については、「AWS Key Management Service 暗号化の詳細
」ホワイトペーパーを参照してください。このホワイトペーパーでは、中国 (北京) および 中国 (寧夏) リージョンで AWS KMS が機能する仕組みについては説明していません。 -
AWS KMS に関する質問のヘルプについては、「AWS Key Management Service ディスカッションフォーラム
」を参照してください。
AWS SDK の AWS KMS
